comptes désactivés du domaine et qui sont toujours présent dans des gr - Sécurité - Windows & Software
Marsh Posté le 30-04-2020 à 12:25:52
Pourquoi tu veux supprimer les comptes désactivés des groupes ?
Soit tu supprimes simplement les comptes, soit tu les désactives et tu les laisses pour qu'ils retrouvent leurs droits au moment de les réactiver.
Sinon c'est une usine à gaz...
Marsh Posté le 30-04-2020 à 14:14:01
le DSI souhaite que l'on garde les users désactivés dans une OU spécifique, c'est pour ça. sinon effectivement une suppression aurait réglé le problème avec une actualisation de l'AD.
si quelqu'un à l'info pour le script ça m'arrange grave
Marsh Posté le 30-04-2020 à 14:34:13
Si tu ne sais pas encore faire, c'est le moment d'apprendre le Powershell et de faire un petit script à ta sauce.
Les commandes Get-ADUser, Get-ADGroupMember et Remove-ADGroupMember seront certainement tes amies.
Marsh Posté le 30-04-2020 à 18:33:54
C'est surtout une très mauvaise idée, supprimer directement les comptes va te créer des SID orphelins partout.
Il faut commencer par les détacher des groupes avant de les supprimer.
Marsh Posté le 30-04-2020 à 21:53:57
Dans les groupes si les comptes sont toujours membres de ceux-ci.
Marsh Posté le 30-04-2020 à 22:52:43
Ben non. Les groupes se vident d’eux-mêmes. Le seul cas où des traces pourraient rester, c’est si les comptes sont mis dans des groupes d’un autre domaine (par approbation de domaine).
Marsh Posté le 30-04-2020 à 23:15:59
+1
idem si les comptes de l'AD sont mis aussi en local sur des machines.
ça c'est pas nettoyé quand le compte est supprimé.
Marsh Posté le 01-05-2020 à 08:29:02
Wolfman a écrit : Ben non. Les groupes se vident d’eux-mêmes. Le seul cas où des traces pourraient rester, c’est si les comptes sont mis dans des groupes d’un autre domaine (par approbation de domaine). |
Autant pour moi, je pensais ACL dans ma tête en écrivant
Marsh Posté le 01-05-2020 à 19:37:00
Merci pour vos réponses!
un petit script que je viens de récupérer le fait très bien.
Merci encore!
Marsh Posté le 31-07-2020 à 13:10:41
Les systèmes d’exploitation Windows Server sont installés avec des comptes locaux par défaut. De plus, vous pouvez créer des comptes d’utilisateurs qui répondent aux exigences de votre organisation.
Les comptes locaux par défaut sont des comptes prédéfinis créés automatiquement lors de l’installation d’un contrôleur de domaine Windows Server et de la création du domaine. Ces comptes locaux par défaut possèdent des équivalents dans Active Directory. Ces comptes disposent également d’un accès à l’échelle du domaine et sont totalement séparés des comptes d’utilisateurs locaux par défaut d’un serveur membre ou d’un serveur autonome.
Vous pouvez attribuer des droits et des autorisations aux comptes locaux par défaut sur un contrôleur de domaine particulier, et seulement sur ce contrôleur de domaine. Ces comptes sont locaux pour le domaine. Une fois les comptes locaux par défaut installés, ils sont stockés dans le conteneur utilisateurs des utilisateurs et ordinateurs Active Directory. Il est recommandé de conserver les comptes locaux par défaut dans le conteneur utilisateur et de ne pas tenter de déplacer ces comptes, par exemple vers une autre unité d’organisation (UO).
Marsh Posté le 30-04-2020 à 12:01:22
Bonjour à tous,
Je recherche avec désespoir un exemple de script pour la suppression des comptes désactivés du domaine et qui sont toujours présent dans des groupes de sécurités.
Après désactivation volontaire des comptes users, ils restent toujours dans leur groupe de sécurités respectifs le but est de supprimer les users désactivé de l’ensemble des groupes de sécu du domaine.
je suis sur un serveur windows 2012 contrôleur de domaine, active directory
Si vous avez des idées je suis preneur
Merci d'avance.